Анатомия атаки в социальных сетях от Майка Рагго

Простая и понятная заметка от Майка Рагго про атаки на корпоративные аккаунты в соцсетях. Угроза атак в социальных сетях всегда находится на рекордно высоком уровне и включает в себя как банальный взлом аккаунта, так и мошенничество, а также различные способы распространения вредоносных программ и фишинг атаки.

Самые серьезные атаки всегда нацелены на организации, независимо от размеров предприятия. Например, компания Microsoft стала жертвой серии взломов в социальных сетях. Атака была интенсивной, затронула несколько учетных записей Twitter и также Skype, рассекретила корпоративные пароли и электронную переписку десятков сотрудников Microsoft.

Поскольку социальные сети существует за пределами корпоративной сети, угроза атаки в соц. сетях может проявиться задолго до того, как вредоносное поведение будет выявлено внутри сети. Распознание и устранение подобных угроз требует глубокого понимания их природы. Если мы сравним тактику, методы и процедуру атак в соц. сетях с традиционными сетевыми атаками, то сможем сделать некоторые важные выводы. Злоумышленники обычно осуществляют атаку на корпоративную сеть в два этапа: разведка и реализация. Разведка включает в себя футпринтинг (например, сбор информации об IP-адресе и доменах организации), сканирование (определение систем, использующих данные IP-адреса) и составление перечня (с указанием сервисов и доступных портов в целевых системах). Когда злоумышленники используют социальные сети, то их стратегия аналогична, но применяются совершенно иные методы.

В социальных сетях атака на организации и корпоративные сети включает в себя футпринтинг, мониторинг и составление характеристики, взлом аккаунта и, наконец, непосредственно саму атаку. В контексте социальных сетей футпринтинг включает в себя сбор информации для выявления сотрудников, как правило, руководителей, а также брендовых аккаунтов, принадлежащих компании. Имена, адреса электронной почты и номера телефонов можно получить на сайте компании, а также из публикаций, новостей и других источников. Далее, злоумышленники стремятся создать аккаунт-фейк для мониторинга, составления характеристики деятельности и поведения всех социальных аккаунтов, принадлежащих организации. Ключевые слова, хэштеги и упоминание об авторском праве также анализируются и используются для установления доверительных отношений при обмене сообщениями. Используя соответствующий жаргон, злоумышленники располагают к доверительному общению, что делает сотрудников, не догадывающихся о том, что они общаются не с представителем компании, а с мошенником, более уязвимыми.

После проведения футпринтинга, мониторинга и составления характеристики, злоумышленники могут создать дополнительные аккаунты под чужим именем. Выдача себя за кого-то другого является одним из наиболее распространенных методов, используемых злоумышленниками в социальных сетях, в частности, при атаках на компании и предприятия. Выдав себя за одного из управляющих компании, мошенник может быстро установить доверительные отношения с другими сотрудниками. При этом они могут использовать фото и данные, заимствованные из настоящего аккаунта. Взломать аккаунт гораздо сложнее, чем выдать себя за кого-то другого, но в случае успеха это приносит более быстрые результаты.

Наиболее эффективные атаки в соц. сетях – те, во время которых злоумышленник смог взломать учетную запись и использовать ее для дальнейшего проникновения в сеть. Многочисленные дампы базы данных социальной сети значительно упрощают для мошенников задачу по взлому аккаунтов. Независимо от того, устанавливается ли доверительное отношение с помощью «фальшивого» или взломанного аккаунта, мошенник начинает атаку, отправив сообщение с вредоносной программой или фишинг-ссылкой для сбора данных или заражения одного из компьютеров внутри сети. Обнаружить это бывает непросто, потому что многие социальные сети используют сокращенные URL, что мешает установить фактический URL. Кроме того, ссылка может содержать в себе несколько переадресаций.

Поскольку угрозы в соц. сетях продолжают развиваться и набирать обороты, предприятиям и организациям стоит укрепить защиту за счет применения дополнительных контрмер. Ниже приведен список действий, которые организациям рекомендется предпринять для укрепления аккаунтов в соц. сетях:

1. Оцените фунтпринтинг вашей организации в соц. сетях (кампании, аккаунты, ответственные лица).

2. Разработайте соответствующую документацию для лиц, ответственных за ведение корпоративных аккаунтов в соц. сетях. Все учетные записи должны иметь надежные пароли и использовать двухфакторную аутентификацию.

3. Используйте идентифицированные аккаунты. Социальные сети, такие как Twitter и Facebook предлагают опцию идентификации аккаунтов для установления их подлинности.

4. Отслеживайте фальшивые аккаунты. Когда найдете таковые, то стоит осуществить проверку и предпринять другие соответствующие действия.

5. Повышайте уровень безопасности сети посредством использования методов проверки контекста, например для выявления вредоносных URL-адресов. Применяйте межсетевые экраны, службы для обнаружения вторжений, системы защиты от вредоносного ПО, прокси серверы и системы управления событиями.

6. Расширьте ваш план действий по реагированию на инциденты, чтобы он охватывал и аккаунты в социальных сетях.

Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах